Site iconPoliteknik – Halkın Mühendisleri Mimarları Şehir Plancıları

BTK kişisel verileri topluyor: Ne amaçlanıyor, ne ile karşı karşıyayız? – Röportaj


Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri Kurumu’nun (BTK) servis sağlayıcılardan internet kullanıcılarının verilerini ayrıntılı talep etmesi; veri güvenliği tartışmasını yeniden gündeme getirdi.

Dezenformasyon Yasası ile internet kullanıcılarının keyfi yargılanmasının önünü açmak isteyen iktidarın, BTK ile internet kullanıcılarının verilerini gizlice, hukuksuzca toplaması ne anlama geliyor, nelere yol açar, kullanıcılar nelere dikkat edebilir?

Konuyu Bilgisayar Mühendisleri Odası Yönetim Kurulu üyesi İlhami Türkdoğan ile konuştuk.

Politeknik: Ulaştırma Bakanlığı’na bağlı Bilgi Teknolojileri Kurumu’nun servis sağlayıcılardan kullanıcıların verilerini ayrıntılı talep ettiği geçtiğimiz günlerde basına da yansımıştı. Sohbetimize buradan başlayalım isterseniz. Bilgi Teknolojileri Kurumu’nun kullanıcılarla ilgili talebi ne anlama geliyor?

İlhami TÜRKDOĞAN: Bilgi Teknolojileri Kurumu yıllardır verileri toplamaya yönelik girişimler yapıyor. BTK’nın son dönem ortaya çıkan ayrıntılı, kişiselleştirilmiş ve anlık veri talebi, sürecin yeni bir halkası.

Konuyu ilk olarak CHP Genel Başkan Yardımcısı Onursal Adıgüzel gündeme getirmişti. Adıgüzel, BTK’nın, internet üzerindeki trafiğe dair her türlü bilgiyi kişiselleştirilmiş ve anlık biçimde toplamaya başladığını belirtmişti. Ardından Medyascope’da Gazeteci Doğu Eroğlu mükemmel bir gazetecilik örneği göstererek BTK’nın bu hukuksuz talebinin belgesine ulaştı.

2008 yılında BTK’ya farklı bir yetki verilmişti, BTK tüm servis sağlayıcılarına bir yazı göndererek birtakım bilgiler istemişti. Hala bu bilgileri düzenli olarak alıyor. Bu bilgiler; T.C. kimlik numarası, cinsiyet ve uyruk, pasaport ve mersis numarası, anne-baba adı, anne kızlık soyadı, doğum yeri, meslek, vs. Bir kişiyi tanıyabileceğiniz her türlü veriyi alıyorlar. Tabi, bu bilgiler tek başına çok önemli olmayabiliyordu. BTK bu noktada yeni bir hamle yaptı.

BTK 15 Aralık 2020 tarihli bir yazı ile, internet servis sağlayıcılarından, tüm kullanıcıların internet trafiği kayıtlarının saat başı kendisine gönderilmesini istedi. Üstelik kullanıcı ad ve soyadının da dahil edilmesini şart koştu.

Burası çok önemli çünkü diğer veriyle eşleştirildiğinde çok tehlikeli oluyor. Yani T.C. kimlik numaranızın edinilen her türlü bilgiyle, ağ trafiğiyle eşleştirilmesi, kaydedilmesi yeni ve tehlikeli bir hamle. Örnek olarak kullanıcının mobil verisi kullanılarak 1 saat arayla konumunu tespit etmek çok kolay olur ve bu veri kişiden alınacak diğer verilerle eşleştirebilir.

Politeknik: Eşleştirme derken biraz açabilir misiniz? BTK daha önceden bu verileri başka şekilde alabiliyor muydu ya da mahkeme kararını mı beklemesi gerekiyordu? Kısacası eskiden iki işlemde yaptığı işlemi tek işleme mi düşürmüş oldu?

İlhami TÜRKDOĞAN: BTK servis sağlayıcılara demiş oluyor ki bu verileri saatlik olarak bana verin. BTK’nın elinde zaten kullanıcı bilgileri de var. Bu devasa arşiv ve bilgileri kişilerle eşleştirme olanağı oldukça tehlikeli, her amaç için kullanılabilir.

Politeknik: Önceden bu veriler tutulmuyor muydu veya bir süre içerisinde devlet kaydı olmaksızın yok mu ediliyordu?

İlhami TÜRKDOĞAN: 3-4 yıl öncesine kadar dediğiniz gibiydi, kayıt edilmiyordu. 2 yıllık bilgiyi internet veri sağlayıcıları tutuyor ve saklıyor. BTK bu şekilde verileri farklı internet sağlayıcılarda saklatmış oluyor ve bu veriler üzerinden analiz yapıyor. Eskiden sadece mahkeme kararı ile hakkında karar çıkan kişilerin bilgisi alınıyordu.

BTK’nın yeni hamlesiyle herkesin verisi her an ulaşılabilir hale geldi. Profilleme yapılmasından korkuyoruz. Yani toplumu muhalifler ve yandaşlar vb. farklı profillere ayırma olanağı ediniyorlar. Bu profillemenin daha detayına girmek istedikleri zaman, herhangi bir insanın bu profil gruplarının arasında nerede durduğu, eğilimleri, alışkanlıkları hemen bulunabilir hale geliyor. Kendi deneyimlerimden yola çıkarak şunu söyleyebilirim. Bu veriler ile anket şirketlerine göre daha gerçekçi bulgular edinmek mümkün. Örneğin iktidara oy vermesi beklenenlerin oranının ay ay değişimini izlemek olanaklı hale geliyor.

Politeknik: Sadece hukuki bir süreç üzerine edinilebilecek bazı bilgileri an be an çok daha fazla ayrıntı ile edinmiş oluyorlar. Geçmiş yıllarda Facebook’un kullanıcıların politik görüşü, alışveriş eğilimi vb. içeren bilgilerini sakladığı ve bu kapsamda insanları yönlendirdiği ortaya çıkmıştı. Buna mı benziyor anlattıklarınız?

İlhami TÜRKDOĞAN: Benzemekle birlikte çok daha farklı yönleri var. Biz sonuçlarının eninde sonunda kötü olacağını biliyoruz. Yani biz şu an akıl yürütebiliriz ancak dünyada bugüne kadar akademide yapılan çalışmalar bu kadar devasa bilgilerin anonimleştirilmeden bir araya getirilmesinin çok korkunç sonuçlar doğurabileceğini gösterdi. Facebook evet bir örnek.

Wikileaks’in ortaya çıkardığı sızıntılardan, bu devasa verilerin ne tehlikeler oluşturabileceğini biliyoruz. Bu düzeyde bir veri tutulmamalı. Verilerin kullanım amacına göre, sağlık, doğa ve benzeri konularda sorunların tespiti için veri tutulması mantıklı olabiliyor ancak bu verilerin anonimleşmesi gerekiyor. Verilerden tek kişilik bilgi elde edilmemesi gerekiyor. Şirketlerin yaptığı bir dijital ikiz meselesi var. Şirketler kişilerin dijital ikizlerini yaratarak ve kayıt ederek, duygularını, düşüncelerini, satın alma zevklerini, protesto edeceği şeyleri rahatlıkla anlamış oluyor. Bunu verileri ellerinde toplayarak yapıyorlar. Özetlersek anonimleştirilmemiş devasa bilginin kimseye söylenmeden büyük bir gizlilik ile kayıt edilmesi büyük bir tehlikedir.
Konunun başka yönleri de var. Devletin farklı kurumlarının doğrudan alımlarla, şeffaf olmayan yöntemlerle farklı şirketlerden büyük verileri biriktirecek, sınıflandıracak ve anlamlandıracak yazılımlar aldığını, yapay zeka çözümlerini uygulamaya başladığını biliyoruz. Bilgisayar mühendisleri olarak kendi deneyimlerimiz ve meslektaşlarımızla sohbetlerimiz bunu gösteriyor. Daha fazlasını da bilmiyoruz. Veriler nerede saklanıyor? Şirketlerin bu verilere erişimi var mı? Hangi yazılımlar kullanılıyor? Açık yazılım mı kullanılıyor? Cevapsız sorular…

Dünyada ortaya çıkan çok sayıda sızıntı gösteriyor ki, devletler sanal dünyada izleme ve gözetim konusunda çok iştahlılar. Bir İsrailli casus yazılım şirketi NSO’nun Pegasus adlı yazılımına dair haberleri buna örnek gösterebiliriz.

Politeknik: BTK’nın veri talebi illegal olarak mı yapılıyor yoksa dayanak aldıkları bir yasa var mı?

İlhami TÜRKDOĞAN: Şu ana kadar farklı avukatlarla görüştük. Yasal olarak böyle bir dayanağın olmadığını düşünüyoruz. Biz bilgilerimizi internet servis sağlayıcılarımıza veriyoruz. İnternet servis sağlayıcıları ise bilgilerimizi nereye verdiğini bizimle paylaşmalıdır.
Bizim verilerimiz bizden habersiz şekilde başkalarına veriliyor. Devlet dahi olsa yasal soruşturma olmadan verilmemesi gerekir. Neler yapabileceğimize bakıyoruz ancak şu ana kadar bu durumun yasal olmadığı kanısındayız. BTK, ülkedeki herkesi usulsüz ve keyfi biçimde sürekli ve anlık gözetim altında tutuyor.

Politeknik: Bu durum karşısında biz kullanıcılar ne yapabiliriz?

İlhami TÜRKDOĞAN: Bireysel düzeyde önlemlerimizi almalıyız tabi ki. İnternete koyduğumuz her türlü verinin izlendiğinin bilincinde olmalıyız. Önlemleri de buna göre almalıyız. Örneğin girdiğiniz internet sitelerinin bilinmesini istemiyorsanız, açık kaynak yazılımlar kullanılabilirsiniz. Mesela Tor gibi tarayıcılar kullanabilirsiniz ya da VPN’ler var.

İnternete veri taşımakta daha dikkatli olmak gerek. Tabi tümüyle dinlendiğimiz, izlendiğimiz paranoyasında da olmamak gerekir. Örneğin Whatsapp, Telegram, Signal yazışmalarının içeriğinin elde edilmesi zor. İmkansız değil ama imkansıza yakın.

Ancak BTK’nın son talep ettiği verilerle birlikte Whatsapp’ta kimlerle yazıştığımızı, hangi gruplarda olduğumuzu ve bu gruplardaki kişilerin girdikleri sitelerin ayrıntılarını an be an kaydettiği ortaya çıkmış oldu.

Bireysel anlamda yapılabilecekler sınırlı. Toplumsal mücadele gerekiyor.

“Dezenformasyonun asıl kaynağının devlet ve şirketler olduğunu düşünüyorum”

BTK’nın aldığı bu veriler sızdırıldı veya çalındı diyelim. Bu bilginin ele geçirildiğini ve ele geçirilince bir dezenformasyon yaşandığını düşünelim. Kişilerin özel hayatı ile ilgili bir dezenformasyon yaşanması durumunda bilgisi paylaşılan kişileri suçlamadan önce bu bilgilerin kimler tarafından sızdırıldığı sorgulanmalıdır.

Biz bilgisayar mühendislerinin en iyi bildiği şeylerden biri; ne kadar güvenlik önlemi alınırsa alınsın dijital dünyada veri hırsızlığının bir ihtimali vardır. Bireylerin dezenformasyona karşı da farkındalıklarını artırmaları gerekiyor.

Kaynağı belli olmayan bilgilere inanmadığımızı ortaya koymamız gerekir. Böyle düşünürsek BTK gibi kurumların verilerimizle elde ettikleri gücü bir anda sıfırlayabiliriz.

Politeknik: Hakikat önemli diyorsunuz yani…

İlhami TÜRKDOĞAN: Evet tabi. Ben Bilgisayar Mühendisleri Odası’nın yönetim kurulu üyesiyim, bunun dışında kişisel olarak da birkaç şey ekliyim. Sanal dünyada; ben buna müsilaj diyorum. Aynen Marmara’nın kirlenmesi gibi adım adım kirlenme yaşanıyor ağda da. Bugün artık girdiğimiz her siteyi attığımız her sanal adımı kontrol etmemiz gerekiyor. Ortaya çıkan önlemler ve yasalar bizim daha sıkıştırılmış hissetmemize neden oluyor. İzleniyorum korkusu insanları otosansüre sürüklüyor. Bunun kaynağı kapitalist devletler ve şirketler. Örgütlerin çabası, bireysel önlemler değerli olsa da bu sorun ancak interneti piyasanın egemenliğinden kurtardığımızda çözülebilecek.
İzleniyoruz, gözetim altındayız ve aslında tüm dünyada bu eğilim var. Faşist rejimler bu yöntemi sıkça kullanıyor. Bugün BTK’nın topladığı bu veriler faşist bir rejimin elinde, kendisine düşman grupları fişlemek için kullanılır. Bu durumu engellememiz gerekiyor.

Politeknik: Bilgisayar mühendisleri veri güvenliği, ağ güvenliği konularında karşı karşıya kalınan tehlikeyi her zaman topluma anlatmış, sansür-denetim uygulamalarına karşı alternatif yöntemler önermişlerdir. Bugün ne yapıyorsunuz?

İlhami TÜRKDOĞAN: Toplumda genel kanı, bir istibdat rejimi içerisinde olduğumuzdur. Dolayısıyla bu rejim içinde çoğu girişimler sonuçsuz kalıyor. Ancak bu bir umutsuzluğa sebep olmamalı.

Dezenformasyon Yasası olarak bilinen ve Meclis’in açılışı sonrasına ertelenen sosyal medya yasa tasarına verilen itirazlar şimdilik yararlı oldu. Bilgisayar Mühendisleri Odası olarak bu tür meşru olmayan, bazı kişilerin, kurumların çıkarları için başlatılan uygulamalara, yasa hazırlıklarına karşı mücadele ediyoruz.

BTK kimseye bilgi vermeden bu şekilde bir karar alıyor, servis sağlayıcıları da tehdit ediyor. “Verileri vermezseniz size ceza uygulayacağım” diyor. Onlar da bu istibdat rejimi içerisinde, karlarını düşünerek reddetmiyorlar. Biz bunları açığa çıkarmaya, anlatmaya çalışıyoruz.
Aynı zamanda kamuda özgür yazılımların kullanılmasını destekliyoruz. BTK bu verileri toplarken, hangi yazılımlar kullanılıyor bilmiyoruz, hangi ihale süreçlerinden geçtiklerini bilmiyoruz. Bu ihale süreçlerine müdahil olmamız lazım.

Bir de çalışanların denetimleri… Eğer biz oda olarak bu işlerde çalışan bilgisayar mühendisi meslektaşlarımıza odamızın görüşlerini, değerlerini anlatabilirsek belki onları da itirazlarımıza ortak edebileceğiz. Kurumlarında; böyle meşru olmayan uygulamalara karşı çıkacaklar. Belki de bu hukuksuz girişimleri basından önce meslektaşlarımızdan öğreneceğiz ve müdahale edebileceğiz. Onlar da kendilerini güçlü hissedecek.

Bu vesileyle meslektaşlarımıza da bir çağrı yapmış olayım. Bilgisayar Mühendisleri Odası’nın mücadelesine desteklerini bekliyoruz.

Politeknik: Teşekkürler.


Exit mobile version